SOC安全运营中心产品介绍

首页天融信SOC安全运营中心介绍高级安全顾问：陶越题纲SOC背景及基础TSM安全运营中心TSM系统特点SOC相关名词术语SOC（SecurityOperatingsCenter）安全运营中心/安全管理平台SIM（SecurityInformationManagement）安全信息管理SEM（SecurityEventsManagement）安全事件管理SIEM（SecurityInformationandEventsManagement）安全信息与事件管理LM（LogManagement）日志管理SMC（SecurityManagementCenter）安全管理中心MSS（ManagedSecurityService）可管理的安全服务/安全托管服务MSSP（ManagedSecurityServiceProvider）安全托管服务提供商MNS（ManagedNetworkService）可管理的网络服务/网络托管服务NOC（NetworkOperatingsCenter）网络运营中心SOC命名来源于NOC，概念来源于MSS国际一般指SOC是一个中心，有固定的场所，有一个技术支撑平台、有大屏幕系统、有组织人员、有一套运营的流程，为第三方提供安全管理服务。国际通行的SOC理念是服务和产品围绕MSS运营展开的，是支撑MSS的技术基础，鲜见以SOC命名的产品国内一般指SOC是一个技术平台，是一个传统概念上的成熟安全产品，而不考虑运维，将产品与运营之间的关系裁剪掉了MSSandMSSP为了节省客户的相关安全投入，即客户将安全外包给MSSP，以小于原投入的资金获得更加专业的业务安全。概念来源于MNS，是相对网络托管服务提出的安全管理服务全球12大MSSP：AT&TBTIBMIntegralis（专注于欧洲市场）MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign（MSS业务快要卖光了）Gartner（高德纳）公司将MSS定义为以下几类：

防火墙或IPS的监视与托管IDS的监视与托管

DDOS防护邮件反病毒/反垃圾托管服务防病毒网管托管服务

安全信息管理安全事件管理网络、服务器或应用的弱点扫描托管

安全弱点或威胁通知服务日志分析托管监视/托管设备报告与故障响应报告MSS服务方式SOC、MSS、MSSP及User间关系MSSPMSSSOCUserISP应用商安全厂商专业服务商咨询商入侵监测远程监控漏洞评估事件管理合规检测运维报告漏扫系统大屏监控事件工具日志工具病毒系统运维人员FirewallIDSIPSAuditAV支撑解决方案建设提供服务产品利用管理系统及服务SOC产生的背景伴随MSS的发展而产生的由ISS（IBM收购）在1998年提出MSS概念1999~2001年ISS先后在全球建立了多个SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墙/VPN集中管理平台，提供给MSSP实现多台防火墙的管理2000年Counterpane（BT收购）推出MSS服务，在全美范围内构建安全监控中心，以此实现MSS服务2001年WatchGuard推出防火墙/VPN状态监测和日志分析报表系统2001年Symantec改造了圣安东尼奥的SOC中心，超过140名安全专家提供24*7*365的安全管理服务,并且陆续在全球建有5个SOC中心2000年ArcSight开发了SIEMS系统，2004年发布了ESM3.0，Gartner从2005年至2007年的SIEMMagicQuadrant评测分析中，ArcSightESM也是连续3年保持在领导者位置SOC定位于MSS服务的提供，或开展MSS服务的ISP也是其目标客户面向普通客户的主要是SIEM系统SOC产生背景（续）2001年安氏利用ISS的知识将MSS的概念引入中国，并与世纪互联签订了中国第一份MSS合作协议与此同时SOC的概念登陆中国，国情不同SOC概念逐渐逐渐被源SOC概念中的工具替代2004年安氏推出了安全运营中心解决方案同年启明推出了泰合安全运营中心系统同年天融信推出企业安全平台（EnterpriseSecurityPlatform）2.0系统，2006年推出TSM3.0近几年以SOC命名技术平台的用法逐渐被安全管理平台命名方式替代全球SIEMS主流厂商领导研究者参与者挑战者SIEMS功能定义：标准化整合化关联化分析化SOC市场划划分（（国际际）ITSIEMMSSSOC服务工工具用户IT系统提供安安全托托管服服务建立安安全运运营中中心MSSPMSSP为提供供MSS，需要要构建建服务务型的的SOCSOC市场划划分（（中国国特色色）IT安全管管理平平台SIMorSEMandSMCSOC帮助助用用户户部部署署服服务务工工具具（集集成成平平台台运运维维服服务务））用户户IT系统统提供供产产品品解解决决方方案案有些些政政府府、、企企业业或或组组织织因因为为数数据据的的私私有有与与机机密密性性等等问问题题，，需需要要自自行行进进行行集集中中的的安安全全管管理理，，需需要要构构建建自自用用型型的的SOC安全全厂厂商商未来来几几年年MSS可能能会会成成为为国国内内安安全全市市场场的的热热点点。。SOC技术术SOC是MSS实现现的的基基础础，，它它的的构构建建包包括括：：人人员员（（安安全全专专家家））、、工工具具、、流流程程、、地地点点及及物物理理设设施施（（网网络络、、监监视视屏屏））等等。。它它提提供供安安全全的的集集中中运运营营，，包包括括安安全全研研究究、、安安全全评评估估、、安安全全策策略略制制定定、、安安全全集集中中监监视视、、安安全全响响应应、、安安全全设设备备配配置置等等。。国际际SOC中采采用用的的技技术术是是由由其其MSS业务务决决定定的的，，没没有有完完整整的的SOC产品品，，根根据据业业务务细细分分产产品品国内内目目前前SOC采用用的的技技术术业业界界公公认认为为““安安全全管管理理平平台台””。。它它由由国国内内安安全全市市场场的的现现状状决决定定，，是是一一个个庞庞大大的的系系统统。。它的的功功能能覆覆盖盖了了很很多多细细分分产产品品的的功功能能如如：：SIEM、设设备备管管理理、、漏漏洞洞管管理理、、合合规规性性及及风风险险管管理理等等。。并并且且有有趋趋势势，，变变得得更更加加庞庞大大，，会会整整合合进进更更多多的的安安全全功功能能进进行行集集中中的的安安全全管管理理。。国内内安安全全管管理理平平台台功功能能定定义义定位位以资资产产为为核核心心、、以以事事件件管管理理为为关关键键流流程程、、以以风风险险控控制制为为目目标标的的面面向向安安全全的的综综合合一一体体化化管管理理平平台台系系统统基本本功功能能资产产管管理理：：资资产产录录入入、、查查询询、、修修改改、、属属性性管管理理、、统统计计等等事件件管管理理：：事事件件采采集集、、过过滤滤、、归归并并、、关关联联分分析析、、事事件件监监控控、、查查询询、、统统计计等等脆弱弱性性管管理理：：弱弱点点采采集集、、资资产产关关联联、、漏漏洞洞查查询询、、脆脆弱弱性性统统计计等等风险险管管理理：：风风险险识识别别、、风风险险计计算算、、风风险险展展示示、、风风险险监监控控、、风风险险预预警警、、风风险险统统计计等等安全全知知识识库库管管理理：：知知识识库库管管理理、、安安全全论论坛坛、、辅辅助助决决策策运维维管管理理：：工工作作流流管管理理、、工工单单管管理理、、运运营营管管理理、、运运维维统统计计等等延伸伸功功能能设备备管管理理：：性性能能管管理理、、配配置置管管理理、、策策略略管管理理等等网络络管管理理：：拓拓扑扑管管理理、、流流量量管管理理、、故故障障管管理理等等应用用管管理理：：应应用用监监控控、、应应用用统统计计、、合合规规审审计计等等终端端管管理理：：网网络络准准入入、、行行为为管管理理等等ITIL运维：建设呼呼叫服务台，，提供统一的的监控运维管管理职能国内安管平台台现状近年SOC建设难言成功功报出的事件以以误报居多，，发现的风险险难以理解自动图表报表表反映的是被被误报严重扭扭曲过的统计计结果全流程的运维维管理流程难难以符合实际际需要虽然建立了SOC系统，但并未未建立SOC中心很多业内人士士也把SOC比喻成“垃圾圾电影”但没人怀疑建建设SOC的必要性首要原因是产产品没有正确确定位、建设设没有循序渐渐进未来SOC之路安全事件管理理是SOC的的重中之重网络管理与安安全管理融合合是国内用户户的切实需求求主动防御是日日常安全管理理的核心面向业务是未未来SOC走走出阴影的唯唯一出路客户化定制适适应不同行业业的管理需求求平台建设是基基础，运营才才是SOC的的本质题纲SOC背景及基础TSM安全运营中心心TSM系统特点平台服务(问题处理)(运维服务/平台工具)策略与平台实实施(工程实施服务务/平台工具)安全咨询(风险管理/服务工具)(1)资产(2)评估(5)TA/基于策略的事事件管理(3)策略/基线(4)TP/策略执行行(6)安全业务服服务流程管管理(SBSM)(7)安全工作作评估与考考评KPI持续改进进拓扑监控控流量监控控设备监控控。。。风险管理理脆弱性管管理事件管理理响应管理理关联分析析辅助决策策安全报表表访问控制制策略入侵检测测策略病毒过滤滤策略安全审计计策略VPN通道策略略资产管理理网络准入入非法外联联行为监管管。。。网络监控控管理TopNoc安全信息息管理TopAnalyzer策略统一一管理TopPolicy内网合规规性TopDeskTSM统一管理理、监控控、调度度服务台台天融信TSM一体化安安全运维维解决方方案天融信TSM安全运营营中心TSM是安全信信息和事事件管理理平台，，设计用用于提高高机构安安全运维维部门、、安全管管理的效效力、效效率和可可视性。。自动汇聚聚并关联联事件、日日志和安安全漏洞洞为多厂商商环境提提供广泛泛的设备备支持，，包括安安全性、、网络、、主机和和应用以资产为为中心的的事故识识别自动满足行业业规范和和规章制制度的要求基于政策策方针和和规章制制度的行行为监控控与报告告最大限度度地优化化安全资资源利用用率从数据收收集和关关联直到到行为和和报告，，实现安安全管理理的全程程自动化化的过程。确定安全目标和运作模式按计划进进行日常常安全保保障检查和审审计安全全工作和和目标实实现确保安全全工作持持续改进进安全目标标安全控制制要求安全审计计和检查查绩效考核核调整安全全目标日常安全全维护事件告警警风险确定定事件处理理和解决决报告审计计安全监控控自上而下下--目标管理理监控快速发现识别和发现问题自下而上上--异常处理理问题快速定位事件分析、告警事件快速处理解决安全风险知识有效积累提高风险处理能力安全管理理流程的的实现TSM-Analyzer平台层次次结构TSM的逻辑架架构1、TopAnalyzer基于J2EE架构开发发，具有有极强的的开放性性、跨平平台与可可移植性性；2、数据库库采用Oracle9i/10g企业版、、sqlserver2005、DB2等。3、支持Window、Linux、AIX等系系统统的的部部署署代理理层层服务务器器展示示层层面向向消消息息中中间间件件技技术术所有有的的事事件件在在采采集集后后对对于于所所有有模模块块都都是是透透明明的的，，即即可可以以实实现现事事件件分分析析的的同同时时入入库库。。把把原原来来审审计计系系统统的的事事后后审审计计转转变变为为实实时时的的分分析析。。综合合监监控控监视视仪仪表表盘盘能能做做什什么么？？———全局局动动态态展展现现网网络络中中安安全全事事件件；；监视视仪仪表表盘盘的的特特点点？？———安全全运运维维的的窗窗口口；；资产产管管理理分析析和和评评估估资资产产的的风风险险和和价价值值，，并并通通过过对对关关键键资资产产的的实实时时监监控控，，以以及及对对资资产产所所产产生生的的事事件件进进行行风风险险分分析析和和处处理理,从而而维维护护企企业业中中各各种种资资产产的的安安全全性性；；资产产分分类类包包括括:资产产类类型型资产产物物理理位位置置资产产用用户户管管理理资产产分分组组管管理理风险险管管理理安全全事事件件处处理理流流程程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中中心安全管管理员员归一化化过滤归并100万Events1万Events1百Events事件整整合流流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一个个事件过滤冗余处理理归纳分类类绑定环境境杂乱的事事件长短一致致颜色分类类攻击场景景匹配9/10/015：05：29PM，%PIX-6-106015：DenyTCP（noconnection）from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS––DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015：05：29PM2001-08-2016:12:56821820632284011711411031安全事件件管理——事件标准准化系统支持持二级过滤滤功能，大量的的噪音数数据可以以在Agent端直接丢丢弃，在在管理服服务器端端还可以以进行进进一步的的过滤以以减少数数据库的的压力。。所有事件过滤滤功能都使用SQL92标准组合合任意过过滤条件件，可以以使用户户灵活的的控制事事件过滤滤条件。。安全事件件管理——事件过滤滤基于状态态机的关关联分析析S0S1S2E0入侵检测测事件E1FW事件E2DB事件E3web事件E5超时E4FW2事件关联分析析引擎实实现对来来自不同同应用、、设备、、系统等等产生的的不同类类型的事事件的实实时关联联通过使用用状态机机来抽象象和描述述攻击的的过程与与场景，，状态机机间的状状态转换换的条件件由不同同安全事事件触发发实时关联来来自不同设设备的安全全事件，可可以大大的的降低IDS的误报率，，发现引发发安全事件件的真正原原因和隐藏藏的威胁。。系统不可用用Firewall?HOST?DB?WebServer?TSM关联分析主机应用异异常导致服服务问题S0:正常E0:应用系统异异常事件（（FromApplicationHost）E1:防火墙异常常事件E2:数据库系统统异常事件件S1:系统部分异异常E3:WEB服务异常事事件S2:WEBSERVER出现异常E4:状态超时由于XX（E0,E1,E2,E3）原因导致致的服务异异常关联分析可可加速问题题定位、提提高系统可可用性基于规则的的关联分析析：将可疑的安安全活动场场景（暗示示某潜在安安全攻击行行为的一系系列安全事事件序列））加以预先先定义。系系统能够使使用定义好好的关联性性规则表达达式，对收收集到的安安全事件进进行检查，，确定该事事件是否和和特定的规规则匹配。。基于统计的的关联分析析：定义一些大大的安全事事件类别，，对每个类类别的事件件设定一个个合理的阀阀值，将出出现的事件件先归类，，然后进行行缓存和计计数，当在在某一段时时间内，计计数达到该该阀值，可可以产生一一个级别更更高的安全全事件。基于资产的的关联分析析：安全事件能能与相关资资产的敏感感性以及相相关资产上上的漏洞进进行关联，，从而判断断某个安全全事件是否否能造成不不良影响以以及造成不不良影响的的严重程度度。基于广义漏漏洞的关联联分析：安全事件能能同网段的的相应漏洞洞进行关联联，判断可可能造成的的不良影响响。支持的关联联分析类型型【场景描述】（1）某个攻击击者对某台台主机进行行端口扫描(事件来自于于安全设备备)（2）攻击者发发现该主机机的3389端口（微软软远程桌面面服务）已已打开，并并通过口令令字猜测获获得了该的的主机口令令（系统事件）；（3）攻击者登陆上该台主机机，将其重重要文件传传送出去（（系统事件件）Page34端口扫描Port3389isOpen场景规则分类场景恶意代码/病毒类后门攻击、病毒攻击、恶意邮件攻击（附件可能是病毒或木马）、自动安装恶意程序、存在可疑软件可疑程序文件内容被防火墙修改、无效命令、可疑数据包、可疑活动、可疑的文件扩展名、可以端口活动、可疑路由、未知告警错误配置地址变化、应用配置、用户设置、IP冲突、过载、硬件错误、邮件设置、系统启动、系统设置、系统中断、系统心跳、服务/进程状态变更、软件安装、系统失效、系统状态尝试探测嗅探、信息流分析、应用查询、主机查询、网络探察、邮件侦察、Windows侦察、Portmap/RPC请求、端口扫描、RPCDump、DNS侦察拒绝服务攻击畸形DoS包、洪水攻击、邮件服务攻击、应用层拒绝服务欺骗和劫持IP欺骗和伪装、IP分段、IP片段重叠、信息重放、IDS躲避非授权访问认证成功、认证/授权失败、FTP访问、文件访问、邮件访问、WEB攻击、绕过安全机制、网络访问中断、权限提升、安全协商、安全策略变更、WEB—IIS非授权访问企图、Telnet访问、Unix/Linux访问、Web服务的非授权访问企图、Windows访问、SNMP访问应用程序漏洞攻击缓存溢出攻击、DNS利用、FTP利用、Linux/Unix利用、邮件利用、网络设备利用、其他主机利用、Telnet利用、TCP劫持、Web利用、Windows利用违反组织安全策略被禁止的HTTP访问、被禁止的Telnet/SSH访问、聊天和即时通讯、被禁止的流内容、其他外部IP访问、被禁止的应用访问、被禁止的FTP访问、过量的Internet访问、可疑的邮件内容和附件、可疑的内部网络活动、被禁止的软件安装密码猜测攻击POP3口令猜测、Windows口令猜测、UNIX口令猜测、应用软件口令猜测环境威胁供电中断、通信中断、设备故障、静电、电磁干扰、温度变化、数据存储介质损坏人为误操作未经授权进行数据拷贝或盗取数据、无意中对数据操作、未经授权将IT系统连接到其他网络预置场景列列表（12大类120个场景560条规则）漏洞扫描工具

安全管理平台网络设备：应用系统：操作系统：网络TXT/XML等格式1.手动交换方式2.自动传递方式与漏洞扫描描系统的整整合支持的响应应方式主要要有:命令行告警警辅助决策联联动命令陷阱导入交换机端口口启用、禁禁用操作防火墙阻断断发送邮件铃声告警SNMPTrap方式告警TopDesk补丁升级TopDesk防火墙阻断断TopPolicy防火墙阻断断声光报警声音报警WinPop告警工单处理短消息事件响应管管理用户选择需需要辅助决决策处理的的事件，系系统将会自自动为其匹匹配决策，，并由用户户决定是否否执行决策策中的响应应脚本。基于专家处处理的辅助助决策文件解析引擎提供数据格格式的解析析安全设备：：防火墙、、入侵检测测系统、VPN、防病毒软软件、漏洞洞扫描器、、安全审计计系统等网络设备：：交换机、、路由器等等操作系统：：WindowsNT/2000/XP/2003操作系统、、主流Linux系统、主流Unix系统等应用系统：：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQLServer、DB2、Informix、Sybase）等其他任何支支持标准SYSLOG、WELF、SNMP（v2、v3）等日志格格式的设备备和系统通过flexer标记语言可快速提供供对未知设备备日志格式式的支持，不需要修修改程序代代码总结：目前前TSM可以收集业业内110种日志格式式，对于不不能够支持持的设备，，可以在5个工作日内内定制开发发完成。数据文件解解析引擎访问和身份份管理IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交换机思科路由器器交换设备备华为路由器器交换设备备中兴路由器器交换设备备CiscoCatalyst交换机Foundry交换机JuniperJunOSNortel以太网路由由交换机8300,8600,400系列操作系统日日志、日志志记录平台台Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病病毒毒CipherTrustIronMailMcAfeeVirusScanNortonAntiVirus(Symantec)McAfeeePOTrendMicroInterScan网络入侵侵检测/防护天融信\启明星辰辰金诺网安安McAfeeIntrushieldSourcefireNetworkSensorSourcefireRNAJuniperIDPISSRealSecureNetworkSensorISSProventiaGISSProventiaMISSBlackICESentryCiscoSecureIDSSNORTIDS应用ApacheMicrosoftIISIBMWebSphere

OracleDatabaseServerLotusDominoSAPR3应用安全全性BlueCoatProxyNortelITM(智能流量量管理)TerosAPSSentrywareHiveIBMDataPower(即将面市市)防火墙天融信联想网御御网御神州州CheckPointFirewall-1CiscoPIXFortinetFortiGateJuniper(Netscreen)LinuxIPTablesMicrosoftISAServerNortelSwitchedFirewallStonesoft'sStoneGateSecureComputing'sSidewinderSymantec'sEnterpriseFirewall安全漏漏洞评评估绿盟启明星星辰榕基NessusISSInternetScannerFoundstone支持超超过110多个事事件的的日志志格式式系统能能够通通过直直观、、友好好的网网络管管理界界面，，可以以实现现对网网络中中的设设备、、主机机、应应用系系统等等方面面的综综合管管理与与监控控。主要包包括网网络设设备自自动发发现、、拓扑扑管理理、视视图管管理、、性能能管理理、资资产管管理等等功能能。网络管理网络管理可可以对扫描描到的所有有网络设备备进行管理理，包括IP地址、、端口、链链路、VLAN、、数据统计计等。网